Todo lo que necesitas saber sobre tecnología

Etiqueta: las noticias de los piratas informáticos Página 1 de 17

El software espía CapraRAT disfrazado de aplicaciones populares amenaza a los usuarios de Android

El software espía CapraRAT disfrazado de aplicaciones populares amenaza a los usuarios de Android

01 de julio de 2024Sala de prensaSeguridad móvil/spyware El actor de amenazas conocido como Transparent Tribe ha seguido desatando aplicaciones de Android con malware como parte de una campaña de ingeniería social dirigida a personas de interés. «Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionadas, con una nueva expansión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un nuevo informe compartido con The Hacker News. La campaña, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas informáticos empleó aplicaciones de Android armadas que se hacían pasar por aplicaciones legítimas como YouTube para entregar un software espía llamado CapraRAT, una versión modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada. La Tribu Transparente, que se sospecha es de origen paquistaní, ha aprovechado CapraRAT durante más de dos años en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software espía para Windows y Android. «La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del software espía con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android». explicó Delamotte. La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente: Crazy Game (com.maeps.crygms.tktols) Sexy Videos (com.nobra.crygms.tktols) TikToks (com.maeps.vdosa.tktols) Weapons (com. maeps.vdosa.tktols) CapraRAT utiliza WebView para iniciar una URL a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo. Un cambio notable en el malware es que permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y ​​REQUEST_INSTALL_PACKAGES ya no se solicitan, lo que sugiere que los actores de amenazas pretenden utilizarlo como una herramienta de vigilancia y no como una puerta trasera. «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable», dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de individuos en el gobierno indio o en el espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, que fue lanzado hace 8 años.» La divulgación se produce cuando Promon reveló un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia. «Ciego de nieve […] realiza un ataque de reempaquetado normal, pero utiliza una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos anti-manipulación», dijo la compañía. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y aprovechan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable. » Dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinee con el objetivo sostenido del grupo de personas en el gobierno indio o en el espacio militar, que es poco probable que utilicen dispositivos que ejecutan versiones anteriores de Android, como como Lollipop, que se lanzó hace 8 años». La divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de forma subrepticia. manera. […] «FjordPhantom y Snowblind realizan un ataque de reempaquetado normal, pero utilizan una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos antimanipulación», afirmó la empresa. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Nueva vulnerabilidad en OpenSSH podría llevar a que se utilice RCE como root en sistemas Linux

Nueva vulnerabilidad en OpenSSH podría llevar a que se utilice RCE como root en sistemas Linux

01 de julio de 2024Sala de prensaLinux/Vulnerabilidad Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para contener una falla de seguridad crítica que podría resultar en la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados ​​en glibc. A la vulnerabilidad se le ha asignado el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones desde cualquiera de las aplicaciones cliente. «La vulnerabilidad, que es una condición de carrera del controlador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código (RCE) no autenticado como raíz en sistemas Linux basados ​​en glibc», dijo Bharat Jogi, director senior de la unidad de investigación de amenazas de Qualys. en una divulgación publicada hoy. «Esta condición de carrera afecta a sshd en su configuración predeterminada». La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestas a Internet, y agregó que es una regresión de una falla de 18 años ya parcheada rastreada como CVE-2006-5051, y que el problema se restableció en octubre de 2020. como parte de OpenSSH versión 8.5p1. «Se ha demostrado una explotación exitosa en sistemas Linux/glibc de 32 bits con [address space layout randomization]», dijo OpenSSH en un aviso. «En condiciones de laboratorio, el ataque requiere un promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará». La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Versiones anteriores a 4.4p1 También son vulnerables al error de condición de carrera a menos que estén parcheados para CVE-2006-5051 y CVE-2008-4109. Vale la pena señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Específicamente, Qualys descubrió que si. un cliente no se autentica dentro de los 120 segundos (una configuración definida por LoginGraceTime), entonces el controlador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para la señal asíncrona. El efecto neto de explotar CVE-2024-6387 es un compromiso total del sistema y su toma de control. , lo que permite a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener un acceso persistente. «Una falla, una vez solucionada, ha reaparecido en una versión de software posterior, generalmente debido a cambios o actualizaciones que se reintroducen inadvertidamente. el problema», dijo Jogi. «Este incidente resalta el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el medio ambiente». Si bien la vulnerabilidad tiene obstáculos importantes debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios que apliquen los parches más recientes para protegerse contra posibles amenazas. También se recomienda limitar el acceso SSH a través de controles basados ​​en la red y aplicar la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Juniper Networks lanza una actualización de seguridad crítica para enrutadores

Juniper Networks lanza una actualización de seguridad crítica para enrutadores

01 de julio de 2024Sala de prensaVulnerabilidad / Seguridad de la red Juniper Networks ha publicado actualizaciones de seguridad fuera de banda para abordar una falla de seguridad crítica que podría provocar una omisión de autenticación en algunos de sus enrutadores. La vulnerabilidad, identificada como CVE-2024-2973, tiene una puntuación CVSS de 10,0, lo que indica una gravedad máxima. «Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en el enrutador o conductor inteligente de sesión de Juniper Networks que se ejecuta con un par redundante permite que un atacante basado en la red omita la autenticación y tome el control total del dispositivo», dijo la compañía en un aviso emitido la semana pasada. Según Juniper Networks, la deficiencia afecta solo a los enrutadores o conductores que se ejecutan en configuraciones redundantes de alta disponibilidad. La lista de dispositivos afectados se muestra a continuación: Session Smart Router (todas las versiones anteriores a 5.6.15, desde 6.0 hasta 6.1.9-lts y desde 6.2 hasta 6.2.5-sts) Session Smart Conductor (todas las versiones anteriores a 5.6.15, desde 6.0 hasta 6.1.9-lts y desde 6.2 hasta 6.2.5-sts) WAN Assurance Router (versiones 6.0 anteriores a 6.1.9-lts y versiones 6.2 anteriores a 6.2.5-sts) El fabricante de equipos de red, que fue comprado por Hewlett Packard Enterprise (HPE) por aproximadamente $ 14 mil millones a principios de este año, dijo que no encontró evidencia de explotación activa de la falla en la naturaleza. También dijo que descubrió la vulnerabilidad durante las pruebas internas del producto y que no hay soluciones alternativas que resuelvan el problema. «Esta vulnerabilidad ha sido parcheada automáticamente en los dispositivos afectados por los enrutadores WAN Assurance administrados por MIST conectados a Mist Cloud», señaló además. «Es importante tener en cuenta que la corrección se aplica automáticamente en los enrutadores administrados por un Conductor o en los enrutadores WAN Assurance y no tiene impacto en las funciones del plano de datos del enrutador». En enero de 2024, la empresa también implementó correcciones para una vulnerabilidad crítica en los mismos productos (CVE-2024-21591, puntuación CVSS: 9,8) que podría permitir a un atacante provocar una denegación de servicio (DoS) o una ejecución remota de código y obtener privilegios de root en los dispositivos. Con múltiples fallas de seguridad que afectaron a los firewalls SRX y los conmutadores EX de la empresa utilizados como armas por actores de amenazas el año pasado, es esencial que los usuarios apliquen los parches para protegerse contra posibles amenazas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Cómo mantenerse por delante de los actores amenazantes

Cómo mantenerse por delante de los actores amenazantes

La moderna cadena de destrucción está eludiendo a las empresas porque no protegen la infraestructura de los negocios modernos: SaaS. SaaS sigue dominando la adopción de software y representa la mayor parte del gasto en la nube pública. Pero tanto las empresas como las PYMES no han revisado sus programas de seguridad ni han adoptado herramientas de seguridad creadas para SaaS. Los equipos de seguridad siguen insertando clavijas locales en los agujeros de seguridad de SaaS. Los controles de seguridad maduros de los que dependían los CISO y sus equipos en la era del dominio local han desaparecido. Los firewalls ahora protegen un perímetro pequeño, la visibilidad es limitada e incluso si los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan un middleware local para digerirlos e insertarlos en su SIEM. Los proveedores de SaaS tienen alcances de seguridad bien definidos para sus productos, pero sus clientes deben gestionar el cumplimiento de SaaS y el gobierno de datos, la gestión de identidad y acceso (IAM) y los controles de aplicaciones, las áreas donde ocurren la mayoría de los incidentes. Si bien este modelo de responsabilidad compartida de SaaS es universal entre las aplicaciones SaaS, no hay dos aplicaciones SaaS que tengan configuraciones de seguridad idénticas. Figura 1. En el contexto de las preocupaciones de seguridad de SaaS, el proveedor de la aplicación es responsable de toda la infraestructura física, así como de la red, el sistema operativo y la aplicación. El cliente es responsable de la seguridad de los datos y la gestión de la identidad. El modelo de responsabilidad compartida de SaaS requiere que los clientes de SaaS asuman la propiedad de los componentes que los actores de amenazas atacan con mayor frecuencia. Ilustración cortesía de AppOmni. La investigación de AppOmni informa que, en promedio, una sola instancia de SaaS tiene 256 conexiones de SaaS a SaaS, muchas de las cuales ya no están en uso, pero aún tienen permisos excesivos en aplicaciones comerciales principales como Salesforce, Okta y GitHub, entre otras. .Entre la multitud de diferentes configuraciones de seguridad de SaaS y las constantes actualizaciones que las modifican, los equipos de seguridad no pueden monitorear estas conexiones de manera efectiva. La cantidad de puntos de entrada se multiplica exponencialmente cuando los empleados habilitan conexiones de SaaS a SaaS (también llamadas «terceros» o «máquinas»). Las identidades de las máquinas pueden utilizar claves API, secretos, sesiones, certificados digitales, claves de acceso a la nube y otras credenciales para permitir que las máquinas se comuniquen entre sí. A medida que la superficie de ataque migraba fuera del perímetro de la red, también lo hacía la cadena de destrucción, es decir, la forma en que los actores de amenazas orquestan las distintas fases de sus ataques. Mire el informe y análisis de amenazas SaaS de AppOmni SaaS es el nuevo campo de batalla de la ciberseguridad. Vea a los expertos en seguridad de AppOmni analizar ejemplos del mundo real de la cadena de eliminación de SaaS moderna y TTP comunes, y le mostrarán cómo reducir la probabilidad de éxito de los actores de amenazas. La cadena de eliminación de SaaS moderna generalmente implica: comprometer una identidad en el IdP a través de una campaña de phishing exitosa, comprar credenciales robadas de la web oscura, cadenas de credenciales, relleno de credenciales, aprovechar inquilinos de SaaS mal configurados o métodos similares. Realización de una fase de reconocimiento posterior a la autenticación. Este paso recuerda a los atacantes que irrumpían en las redes corporativas de antaño. Pero ahora están revisando repositorios de documentos, repositorios de código fuente, bóvedas de contraseñas, Slack, Teams y entornos similares para encontrar puntos de entrada de escalada privilegiados. Aprovechar sus hallazgos para avanzar lateralmente hacia otros inquilinos de SaaS, PaaS o IaaS y, a veces, hacia la infraestructura corporativa, dondequiera que puedan encontrar los datos más valiosos para la organización objetivo. Cifrar las joyas de la corona o entregar su nota de rescate e intentar evadir la detección. Figura 2. Las cadenas de eliminación exitosas de SaaS generalmente implican cuatro pasos generales: acceso inicial, reconocimiento, movimiento lateral y persistencia, y ejecución de ransomware y evasión de seguridad. Ilustración cortesía de AppOmni. Rompiendo una cadena de muerte de SaaS del mundo real: el último seminario web informativo sobre inteligencia de amenazas de AppOmni, líder en seguridad de SaaS de Scattered Spider/Starfraud, delineó la cadena de muerte del ataque exitoso de los grupos de actores de amenazas Scattered Spider/Starfraud (afiliados de ALPHV) a un objetivo no revelado en septiembre 2023: un usuario abrió un correo electrónico de phishing que contenía enlaces a una página de inicio de sesión de IdP falsa y, sin saberlo, inició sesión en la página de IdP falsa. Los grupos de actores de amenazas llamaron inmediatamente a ese usuario y lo convencieron, mediante ingeniería social, para que le proporcionara su token de contraseña de un solo uso basado en el tiempo (TOTP). Después de obtener las credenciales de inicio de sesión del usuario y el token TOTP, los actores de amenazas engañaron al protocolo MFA haciéndoles creer que eran el usuario legítimo. Mientras estaban en modo de reconocimiento, los actores de amenazas tenían acceso a una escalada privilegiada, lo que les permitía obtener credenciales en Amazon S3, luego en Azure AD y finalmente en Citrix VDI (infraestructura de escritorio virtual). Luego, los actores de amenazas implementaron su propio servidor malicioso en el entorno IaaS, en el que ejecutaron un ataque de escalada privilegiado de Azure AD. Los atacantes cifraron todos los datos a su alcance y entregaron una nota de rescate. Figura 3. La cadena de destrucción utilizada por los grupos de actores de amenazas Scattered Spider/Starfraud. Ilustración cortesía de AppOmni. Scattered Spider/Starfraud probablemente logró esta serie de eventos durante varios días. Cuando SaaS sirve como punto de entrada, un ataque grave puede incluir la red y la infraestructura corporativa. Esta conectividad SaaS/local es común en las superficies de ataque empresariales actuales. La actividad de ataques SaaS por parte de actores de amenazas conocidos y desconocidos está aumentando. La mayoría de las infracciones de SaaS no dominan los titulares, pero las consecuencias son significativas. IBM informa que las violaciones de datos en 2023 promediaron 4,45 millones de dólares por instancia, lo que representa un aumento del 15% en tres años. Los actores de amenazas dependen continuamente de los mismos TTP y el mismo manual de estrategias de la cadena de destrucción de Scattered Spider/Starfraud para obtener acceso no autorizado y escanear a los inquilinos de SaaS, incluidos Salesforce y M365, donde los problemas de configuración podrían manipularse para proporcionar acceso más adelante. Otros atacantes obtienen acceso inicial con secuestro de sesión y viajes imposibles. Una vez que han transferido la sesión secuestrada a un host diferente, su movimiento lateral a menudo involucra plataformas de comunicaciones como SharePoint, JIRA, DocuSign y Slack, así como repositorios de documentos como Confluence. Si pueden acceder a GitHub u otros repositorios de código fuente, los actores de amenazas extraerán ese código fuente y lo analizarán en busca de vulnerabilidades dentro de una aplicación de destino. Intentarán explotar estas vulnerabilidades para extraer los datos de la aplicación de destino. El informe de inteligencia de amenazas de AppOmni también informa que la filtración de datos mediante el intercambio de permisos sigue siendo un grave problema de seguridad de SaaS. Esto ocurre, por ejemplo, en Google Workspace cuando el usuario no autorizado cambia de directorio a un nivel de permisos muy abierto. El atacante puede compartirlos con otra entidad externa mediante el reenvío de correo electrónico o cambiando reglas condicionales para que los atacantes se incluyan como destinatarios BCC en una lista de distribución. ¿Cómo protege sus entornos SaaS? 1. Centrarse en la higiene de los sistemas SaaS Establezca un proceso de admisión y revisión de SaaS para determinar qué SaaS permitirá en su empresa. Este proceso debería requerir respuestas a preguntas de seguridad como: ¿Todos los SaaS deben tener certificación SOC 2 Tipo 2? ¿Cuál es la configuración de seguridad óptima para cada inquilino? ¿Cómo evitará su empresa la desviación de la configuración? ¿Cómo determinará si las actualizaciones automáticas de SaaS requerirán modificar la configuración de control de seguridad? Asegúrese de poder detectar Shadow IT SaaS (o aplicaciones SaaS no autorizadas) y tener un programa de respuesta para que las alertas no se creen en vano. Si no supervisa a sus inquilinos de SaaS y no incorpora todos sus registros con algún método unificado, nunca podrá detectar comportamientos sospechosos ni recibir alertas basadas en ellos. 2. Realizar un inventario y monitorear continuamente las cuentas/identidades de las máquinas. Los actores de amenazas apuntan a las identidades de las máquinas por su acceso privilegiado y estándares de autenticación laxos, y a menudo rara vez requieren MFA. En 2023, los actores de amenazas atacaron y violaron con éxito las principales herramientas de CI/CD, Travis CI, CircleCI y Heroku. , robando tokens de OAuth para todos los clientes de estos proveedores. En estas situaciones, el radio de la explosión se amplía considerablemente. Dado que una empresa promedio contiene 256 identidades de máquinas, a menudo falta higiene. Muchos de ellos se utilizan una o dos veces y luego permanecen estancados durante años. Haga un inventario de todas las identidades de sus máquinas y clasifique estos riesgos críticos. Una vez que los haya mitigado, cree políticas que prescriban: A qué tipo de cuentas se les otorgarán identidades de máquina y los requisitos que estos proveedores deben cumplir para obtener acceso. El período de tiempo durante el cual sus accesos/tokens están activos antes de que sean revocados, actualizados o concedidos nuevamente. Cómo supervisará el uso de estas cuentas y se asegurará de que sigan siendo necesarias si experimentan períodos de inactividad. 3. Cree una verdadera arquitectura Zero Trust en su patrimonio SaaS. La arquitectura Zero Trust se basa en el principio de privilegio mínimo (PLP) con un enfoque de «nunca confiar, siempre verificar». Si bien Zero Trust se ha establecido en redes tradicionales, rara vez se logra en entornos SaaS. El enfoque centrado en la red de Zero Trust Network Access (ZTNA) no puede detectar configuraciones erróneas, integraciones de máquinas o derechos de acceso de usuarios no deseados dentro y hacia las plataformas SaaS, que pueden tener miles o incluso millones de usuarios externos accediendo a los datos. Zero Trust Posture Management (ZTPM), una herramienta de seguridad SaaS emergente, extiende Zero Trust a su patrimonio SaaS. Cierra la brecha de seguridad de SaaS que crea SASE al: Prevenir la omisión no autorizada de ZTNA. Permitir decisiones de acceso afinadas. Hacer cumplir sus políticas de seguridad con ciclos de retroalimentación continuos. Extender Zero Trust a integraciones de máquinas y conexiones en la nube. Con SSPM, ZTPM y un programa de seguridad SaaS en En este lugar, su equipo obtendrá la visibilidad y la inteligencia que necesita para identificar intrusos en las etapas de bajo riesgo de su cadena de destrucción y detenerlos antes de que una infracción se vuelva devastadora. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Kimsuky usa la extensión TRANSLATEXT de Chrome para robar datos confidenciales

Kimsuky usa la extensión TRANSLATEXT de Chrome para robar datos confidenciales

28 de junio de 2024Sala de prensaEspionaje cibernético / Ataque cibernético El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado al uso de una nueva extensión maliciosa de Google Chrome que está diseñada para robar información confidencial como parte de un esfuerzo continuo de recopilación de inteligencia. Zscaler ThreatLabz, que observó la actividad a principios de marzo de 2024, ha denominado a la extensión TRANSLATEXT, destacando su capacidad para recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador. Se dice que la campaña dirigida ha estado dirigida contra el mundo académico de Corea del Sur, específicamente aquellos centrados en los asuntos políticos de Corea del Norte. Kimsuky es un conocido equipo de piratas informáticos de Corea del Norte que se sabe que está activo desde al menos 2012, orquestando espionaje cibernético y ataques con motivaciones financieras dirigidos a entidades surcoreanas. Un grupo hermano del grupo Lazarus y parte del Reconnaissance General Bureau (RGB), también se lo rastrea bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima. En las últimas semanas, el grupo ha utilizado como arma una falla de seguridad conocida en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado señuelos con temas de trabajo en ataques dirigidos a los sectores aeroespacial y de defensa con el objetivo de lanzar una herramienta de espionaje con funcionalidades de recopilación de datos y ejecución de carga útil secundaria. «La puerta trasera, que no parece haber sido documentada públicamente antes, permite al atacante realizar un reconocimiento básico y lanzar cargas útiles adicionales para tomar el control de la máquina o controlarla de forma remota», dijo la empresa de ciberseguridad CyberArmor. Le ha dado a la campaña el nombre de Niki. El modo exacto de acceso inicial asociado con la actividad recién descubierta actualmente no está claro, aunque se sabe que el grupo aprovecha los ataques de phishing y de ingeniería social para activar la cadena de infección. El punto de partida del ataque es un archivo ZIP que supuestamente trata sobre la historia militar de Corea y que contiene dos archivos: un documento de procesador de textos Hangul y un ejecutable. Al ejecutar el ejecutable, se recupera un script de PowerShell de un servidor controlado por el atacante, que, a su vez, exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código de PowerShell adicional mediante un archivo de acceso directo de Windows (LNK). Zscaler dijo que encontró la cuenta de GitHub, creada el 13 de febrero de 2024, que aloja brevemente la extensión TRANSLATEXT con el nombre «GoogleTranslate.crx», aunque actualmente se desconoce su método de entrega. «Estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al día siguiente, lo que implica que Kimsuky tenía la intención de minimizar la exposición y usar el malware durante un corto período para atacar a individuos específicos», dijo el investigador de seguridad Seongsu Park. TRANSLATEXT, que se hace pasar por Google Translate, incorpora código JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; extraer direcciones de correo electrónico, credenciales y cookies; capturar capturas de pantalla del navegador; y exfiltrar datos robados. También está diseñado para obtener comandos de una URL de Blogger Blogspot con el fin de tomar capturas de pantalla de las pestañas recién abiertas y eliminar todas las cookies del navegador, entre otras cosas. «Uno de los principales objetivos del grupo Kimsuky es llevar a cabo vigilancia sobre el personal académico y gubernamental con el fin de reunir información valiosa», dijo Park. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

28 de junio de 2024Sala de prensaSeguridad de redes / Protección de datos Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario. «SnailLoad explota un cuello de botella presente en todas las conexiones a Internet», dijeron los investigadores en un estudio publicado esta semana. «Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad de red actual en la conexión a Internet de otra persona. Un atacante puede usar esta información para inferir los sitios web que visita un usuario o los videos que mira». Una característica definitoria de este enfoque es que evita la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar cerca físicamente de la conexión Wi-Fi para rastrear el tráfico de la red. En concreto, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como un canal secundario para determinar las actividades en línea en el sistema de la víctima. Para realizar un ataque de toma de huellas digitales de este tipo y obtener qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que se descarga el contenido del servidor mientras navega o visualiza. A continuación, implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para realizar la inferencia con una precisión de hasta el 98% para vídeos y el 63% para sitios web. En otras palabras, debido al cuello de botella de la red del lado de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastros de RTT son únicos por vídeo y se pueden utilizar para clasificar el vídeo visto por la víctima. El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para controlar la latencia de la conexión durante un período prolongado de tiempo. «SnailLoad no requiere JavaScript, ninguna forma de ejecución de código en el sistema de la víctima y ninguna interacción del usuario, sino solo un intercambio constante de paquetes de red», explicaron los investigadores, y agregaron que «mide la latencia en el sistema de la víctima e infiere la actividad de red en el sistema de la víctima a partir de las variaciones de latencia». «La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat». La revelación se produce después de que los académicos revelaran una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de Traducción de Direcciones de Red (NAT) que podría ser explotada por un atacante conectado a la misma red Wi-Fi que la víctima para eludir la aleatorización incorporada en el Protocolo de Control de Transmisión (TCP). «La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP», dijeron los investigadores. «En consecuencia, esto introduce vulnerabilidades de seguridad graves que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones NAT en el enrutador». El ataque básicamente permite al actor de la amenaza inferir los puertos de origen de otras conexiones de clientes, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar la manipulación de la conexión TCP. Los ataques de secuestro dirigidos a TCP podrían luego ser utilizados como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt, así como los proveedores de enrutadores como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi, están preparando parches para la vulnerabilidad. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

28 de junio de 2024Sala de prensaSeguridad industrial / Infraestructura crítica Se han revelado múltiples fallas de seguridad en los cromatógrafos de gases Emerson Rosemount que podrían ser explotadas por actores maliciosos para obtener información confidencial, inducir una condición de denegación de servicio (DoS) e incluso ejecutar comandos arbitrarios. Las fallas afectan a GC370XA, GC700XA y GC1500XA y residen en las versiones 4.1.5 y anteriores. Según la empresa de seguridad de tecnología operativa (OT) Claroty, las vulnerabilidades incluyen dos fallas de inyección de comandos y dos vulnerabilidades de autenticación y autorización independientes que podrían ser utilizadas por atacantes no autenticados para realizar una amplia gama de acciones maliciosas que van desde la omisión de la autenticación hasta la inyección de comandos. «La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado con acceso a la red ejecute comandos arbitrarios, acceda a información confidencial, provoque una condición de denegación de servicio y evite la autenticación para adquirir capacidades de administrador», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en un aviso publicado en enero. El cromatógrafo, que se utiliza para realizar mediciones críticas de gases, se puede configurar y administrar mediante un software llamado MON. El software también se puede utilizar para almacenar datos críticos y generar informes como cromatogramas, historial de alarmas, registros de eventos y registros de mantenimiento. El análisis de Claroty del firmware y el protocolo propietario utilizado para las comunicaciones entre el dispositivo y el cliente de Windows llamado MON2020 ha revelado las siguientes deficiencias: CVE-2023-46687 (puntuación CVSS: 9,8): un usuario no autenticado con acceso a la red podría ejecutar comandos arbitrarios en el contexto raíz desde una computadora remota CVE-2023-49716 (puntuación CVSS: 6,9): un usuario autenticado con acceso a la red podría ejecutar comandos arbitrarios desde una computadora remota CVE-2023-51761 (puntuación CVSS: 8,3): un usuario no autenticado con acceso a la red podría eludir la autenticación y adquirir capacidades de administrador restableciendo la contraseña asociada CVE-2023-43609 (puntuación CVSS: 6,9): un usuario no autenticado con acceso a la red podría obtener acceso a información confidencial o provocar una condición de denegación de servicio Tras una divulgación responsable, Emerson ha publicado [PDF] una versión actualizada del firmware que soluciona las vulnerabilidades. La empresa también recomienda a los usuarios finales que sigan las mejores prácticas de ciberseguridad y se aseguren de que los productos afectados no estén expuestos directamente a Internet. La revelación se produce cuando Nozomi Networks detalló varias fallas en AiLux RTU62351B que podrían usarse para acceder a recursos confidenciales en el dispositivo, alterar su configuración e incluso lograr la ejecución de comandos arbitrarios como root. Las vulnerabilidades se han denominado colectivamente I11USION. También se han identificado fallas en los dispositivos de monitoreo de temperatura Proges Plus y su software asociado, a saber, Sensor Net Connect y Thermoscan IP, que podrían permitir privilegios de administrador sobre sistemas médicos críticos, lo que hace posible que un actor malintencionado manipule la configuración del sistema, instale malware y exfiltre datos. Estas vulnerabilidades, que siguen sin parchearse, también podrían resultar en una condición de DoS de la infraestructura de monitoreo médico, lo que lleva al deterioro de medicamentos y vacunas sensibles a la temperatura. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Investigadores de ciberseguridad han revelado una falla de seguridad de alta gravedad en la biblioteca Vanna.AI que podría explotarse para lograr una vulnerabilidad de ejecución remota de código mediante técnicas de inyección rápida. La vulnerabilidad, rastreada como CVE-2024-5565 (puntaje CVSS: 8.1), se relaciona con un caso de inyección rápida en la función «preguntar» que podría explotarse para engañar a la biblioteca para que ejecute comandos arbitrarios, dijo la firma de seguridad de la cadena de suministro JFrog. Vanna es una biblioteca de aprendizaje automático basada en Python que permite a los usuarios chatear con su base de datos SQL para obtener información «simplemente haciendo preguntas» (también conocidas como indicaciones) que se traducen a una consulta SQL equivalente utilizando un modelo de lenguaje grande (LLM). La rápida implementación de modelos de inteligencia artificial (IA) generativa en los últimos años ha puesto de relieve los riesgos de explotación por parte de actores maliciosos, que pueden convertir las herramientas en armas proporcionando entradas adversas que eluden los mecanismos de seguridad integrados en ellas. Una de esas clases destacadas de ataques es la inyección rápida, que se refiere a un tipo de jailbreak de IA que puede usarse para ignorar las barreras erigidas por los proveedores de LLM para evitar la producción de contenido ofensivo, dañino o ilegal, o llevar a cabo instrucciones que violen el objetivo previsto. propósito de la aplicación. Dichos ataques pueden ser indirectos, en los que un sistema procesa datos controlados por un tercero (por ejemplo, correos electrónicos entrantes o documentos editables) para lanzar una carga útil maliciosa que conduce a una fuga de IA. También pueden tomar la forma de lo que se llama jailbreak de muchos disparos o jailbreak de múltiples turnos (también conocido como Crescendo) en el que el operador «comienza con un diálogo inofensivo y dirige progresivamente la conversación hacia el objetivo prohibido previsto». Este enfoque se puede ampliar aún más para realizar otro novedoso ataque de jailbreak conocido como Skeleton Key. «Esta técnica de jailbreak de IA funciona mediante el uso de una estrategia de múltiples turnos (o múltiples pasos) para hacer que un modelo ignore sus barreras de seguridad», dijo Mark Russinovich, director de tecnología de Microsoft Azure. «Una vez que se ignoran las barreras de seguridad, un modelo no podrá determinar solicitudes maliciosas o no autorizadas de ningún otro». Skeleton Key también se diferencia de Crescendo en que una vez que el jailbreak es exitoso y se cambian las reglas del sistema, el modelo puede crear respuestas a preguntas que de otro modo estarían prohibidas, independientemente de los riesgos éticos y de seguridad involucrados. «Cuando el jailbreak de Skeleton Key tiene éxito, un modelo reconoce que ha actualizado sus pautas y posteriormente cumplirá con las instrucciones para producir cualquier contenido, sin importar cuánto viole sus pautas originales de IA responsable», dijo Russinovich. «A diferencia de otros jailbreaks como Crescendo, donde se debe preguntar a los modelos sobre las tareas indirectamente o con codificaciones, Skeleton Key pone a los modelos en un modo en el que un usuario puede solicitar tareas directamente. Además, la salida del modelo parece no estar completamente filtrada y revela el alcance de el conocimiento o la capacidad de un modelo para producir el contenido solicitado». Los últimos hallazgos de JFrog –también divulgados de forma independiente por Tong Liu– muestran cómo las inyecciones rápidas podrían tener graves impactos, particularmente cuando están vinculadas a la ejecución de una orden. CVE-2024-5565 aprovecha el hecho de que Vanna facilita la generación de texto a SQL para crear consultas SQL, que luego se ejecutan y se presentan gráficamente a los usuarios utilizando la biblioteca de gráficos Plotly. Esto se logra mediante una función «preguntar», por ejemplo, vn.ask («¿Cuáles son los 10 principales clientes por ventas?»), que es uno de los principales puntos finales de API que permite ejecutar consultas SQL en la base de datos. El comportamiento antes mencionado, junto con la generación dinámica del código Plotly, crea un agujero de seguridad que permite a un actor de amenazas enviar un mensaje especialmente diseñado que incorpora un comando para ejecutarse en el sistema subyacente. «La biblioteca Vanna utiliza una función de aviso para presentar al usuario resultados visualizados, es posible alterar el aviso usando la inyección de aviso y ejecutar código Python arbitrario en lugar del código de visualización deseado», dijo JFrog. «Específicamente, permitir la entrada externa al método ‘preguntar’ de la biblioteca con ‘visualizar’ configurado en Verdadero (comportamiento predeterminado) conduce a la ejecución remota de código». Tras una divulgación responsable, Vanna ha publicado una guía de refuerzo que advierte a los usuarios que la integración de Plotly podría usarse para generar código Python arbitrario y que los usuarios que expongan esta función deben hacerlo en un entorno de espacio aislado. «Este descubrimiento demuestra que los riesgos del uso generalizado de GenAI/LLM sin una gobernanza y seguridad adecuadas pueden tener implicaciones drásticas para las organizaciones», dijo en un comunicado Shachar Menashe, director senior de investigación de seguridad de JFrog. «Los peligros de la inyección rápida todavía no son muy conocidos, pero son fáciles de ejecutar. Las empresas no deberían confiar en la estimulación previa como mecanismo de defensa infalible y deberían emplear mecanismos más sólidos al conectar los LLM con recursos críticos como bases de datos o dinámicas. codigo de GENERACION.» ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

La botnet P2PInfect basada en Rust evoluciona con cargas útiles de minero y ransomware

La botnet P2PInfect basada en Rust evoluciona con cargas útiles de minero y ransomware

Se ha descubierto que la botnet de malware peer-to-peer conocida como P2PInfect apunta a servidores Redis mal configurados con ransomware y mineros de criptomonedas. El desarrollo marca la transición de la amenaza de lo que parecía ser una botnet inactiva con motivos poco claros a una operación con motivación financiera. «Con sus últimas actualizaciones del cripto minero, la carga útil del ransomware y los elementos del rootkit, demuestra los continuos esfuerzos del autor del malware para sacar provecho de su acceso ilícito y difundir aún más la red, mientras continúa invadiendo Internet», dijo Cado Security en un informe publicado esta semana. P2PInfect salió a la luz hace casi un año y desde entonces ha recibido actualizaciones para arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubrió el uso del malware para entregar cargas útiles a los mineros. Por lo general, se propaga apuntando a los servidores Redis y su función de replicación para transformar los sistemas víctimas en un nodo seguidor del servidor controlado por el atacante, permitiéndole posteriormente emitirles comandos arbitrarios. El gusano basado en Rust también presenta la capacidad de escanear Internet en busca de servidores más vulnerables, sin mencionar la incorporación de un módulo de distribución de contraseñas SSH que intenta iniciar sesión utilizando contraseñas comunes. Además de tomar medidas para evitar que otros atacantes apunten al mismo servidor, se sabe que P2PInfect cambia las contraseñas de otros usuarios, reinicia el servicio SSH con permisos de root e incluso realiza una escalada de privilegios. «Como sugiere el nombre, es una botnet peer-to-peer, donde cada máquina infectada actúa como un nodo en la red y mantiene una conexión con varios otros nodos», dijo el investigador de seguridad Nate Bill. «Esto da como resultado que la botnet forme una enorme red de malla, que el autor del malware utiliza para enviar archivos binarios actualizados a través de la red, a través de un mecanismo de chismes. El autor simplemente necesita notificar a un par, y este informará a todos sus pares y y así sucesivamente hasta que el nuevo binario se propague por completo a través de la red». Entre los nuevos cambios de comportamiento de P2PInfect se incluye el uso del malware para eliminar cargas útiles de mineros y ransomware, el último de los cuales está diseñado para cifrar archivos que coinciden con ciertas extensiones de archivo y entregar una nota de rescate instando a las víctimas a pagar 1 XMR (~$165). «Como se trata de un ataque oportunista y no dirigido, es probable que las víctimas sean de bajo valor, por lo que es de esperar un precio bajo», señaló Bill. También es de destacar un nuevo rootkit en modo de usuario que utiliza la variable de entorno LD_PRELOAD para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad, una técnica también adoptada por otros grupos de criptojacking como TeamTNT. Se sospecha que P2PInfect se anuncia como un servicio de botnet de alquiler, que actúa como un conducto para desplegar las cargas útiles de otros atacantes a cambio de un pago. Esta teoría se ve reforzada por el hecho de que las direcciones de billetera para el minero y el ransomware son diferentes, y que el proceso minero está configurado para consumir la mayor potencia de procesamiento posible, lo que interfiere con el funcionamiento del ransomware. «La elección de una carga útil de ransomware para malware dirigido principalmente a un servidor que almacena datos efímeros en memoria es extraña, y P2Pinfect probablemente obtendrá muchas más ganancias de su minero que de su ransomware debido a la cantidad limitada de archivos de bajo valor que contiene. puede acceder debido a su nivel de permiso», dijo Bill. «La introducción del rootkit en modo de usuario es una adición ‘buena en el papel’ al malware. Si el acceso inicial es Redis, el rootkit en modo de usuario también será completamente ineficaz ya que sólo puede agregar la precarga para la cuenta de servicio de Redis, que otros usuarios probablemente no iniciará sesión como.» La divulgación sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables que tienen fallas sin parchear o están mal protegidos están siendo atacados por presuntos actores de amenazas de habla china para implementar criptomineros. «El control remoto se facilita a través de shells web instalados y NetCat, y dada la instalación de herramientas proxy destinadas al acceso RDP, la filtración de datos por parte de los actores de amenazas es una clara posibilidad», dijo ASEC, destacando el uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar y RingQ. También se produce cuando Fortinet FortiGuard Labs señaló que botnets como UNSTABLE, Condi y Skibidi están abusando de operadores legítimos de servicios informáticos y de almacenamiento en la nube para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos. «Usar servidores en la nube para [command-and-control] «Las operaciones garantizan una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque», dijeron los investigadores de seguridad Cara Lin y Vincent Li. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los secretos del entrenamiento oculto de IA en sus datos

Los secretos del entrenamiento oculto de IA en sus datos

27 de junio de 2024The Hacker NewsInteligencia artificial/Seguridad SaaS Si bien algunas amenazas de SaaS son claras y visibles, otras están ocultas a plena vista, y ambas presentan riesgos importantes para su organización. La investigación de Wing indica que un sorprendente 99,7% de las organizaciones utilizan aplicaciones integradas con funcionalidades de IA. Estas herramientas impulsadas por IA son indispensables y brindan experiencias fluidas desde la colaboración y la comunicación hasta la gestión del trabajo y la toma de decisiones. Sin embargo, detrás de estas comodidades se esconde un riesgo en gran medida no reconocido: el potencial de que las capacidades de IA en estas herramientas SaaS comprometan datos comerciales confidenciales y la propiedad intelectual (PI). Los hallazgos recientes de Wing revelan una estadística sorprendente: el 70% de las 10 aplicaciones de IA más utilizadas pueden usar sus datos para entrenar sus modelos. Esta práctica puede ir más allá del mero aprendizaje y almacenamiento de datos. Puede implicar volver a capacitar sus datos, hacer que revisores humanos los analicen e incluso compartirlos con terceros. A menudo, estas amenazas están enterradas en la letra pequeña de los acuerdos de Términos y condiciones y políticas de privacidad, que describen el acceso a los datos y los complejos procesos de exclusión voluntaria. Este enfoque sigiloso introduce nuevos riesgos, lo que hace que los equipos de seguridad tengan dificultades para mantener el control. Este artículo profundiza en estos riesgos, proporciona ejemplos del mundo real y ofrece mejores prácticas para proteger su organización a través de medidas de seguridad SaaS efectivas. Cuatro riesgos de la capacitación de IA en sus datos Cuando las aplicaciones de IA utilizan sus datos para capacitación, surgen varios riesgos importantes que pueden afectar la privacidad, la seguridad y el cumplimiento de su organización: 1. Propiedad intelectual (PI) y fuga de datos Una de las preocupaciones más críticas es la posible exposición de su propiedad intelectual (PI) y datos confidenciales a través de modelos de IA. Cuando los datos de su empresa se utilizan para entrenar la IA, sin darse cuenta, pueden revelar información patentada. Esto podría incluir estrategias comerciales sensibles, secretos comerciales y comunicaciones confidenciales, lo que generaría vulnerabilidades importantes. 2. Utilización de datos y desalineación de intereses Las aplicaciones de IA a menudo utilizan sus datos para mejorar sus capacidades, lo que puede provocar una desalineación de intereses. Por ejemplo, la investigación de Wing ha demostrado que una popular aplicación CRM utiliza datos de su sistema (incluidos detalles de contacto, historiales de interacción y notas de clientes) para entrenar sus modelos de IA. Estos datos se utilizan para mejorar las características del producto y desarrollar nuevas funcionalidades. Sin embargo, también podría significar que sus competidores, que utilizan la misma plataforma, pueden beneficiarse de la información derivada de sus datos. 3. Compartir con terceros Otro riesgo importante implica compartir sus datos con terceros. Los datos recopilados para la capacitación en IA pueden ser accesibles a procesadores de datos externos. Estas colaboraciones tienen como objetivo mejorar el rendimiento de la IA e impulsar la innovación del software, pero también plantean preocupaciones sobre la seguridad de los datos. Los proveedores externos pueden carecer de medidas sólidas de protección de datos, lo que aumenta el riesgo de infracciones y uso no autorizado de datos. 4. Preocupaciones por el cumplimiento Las distintas regulaciones en todo el mundo imponen reglas estrictas sobre el uso, el almacenamiento y el intercambio de datos. Garantizar el cumplimiento se vuelve más complejo cuando las aplicaciones de IA se entrenan con sus datos. El incumplimiento puede dar lugar a fuertes multas, acciones legales y daños a la reputación. Navegar por estas regulaciones requiere un esfuerzo y experiencia significativos, lo que complica aún más la gestión de datos. ¿Qué datos están entrenando realmente? Comprender los datos utilizados para entrenar modelos de IA en aplicaciones SaaS es esencial para evaluar los riesgos potenciales e implementar medidas sólidas de protección de datos. Sin embargo, la falta de coherencia y transparencia entre estas aplicaciones plantea desafíos para los directores de seguridad de la información (CISO) y sus equipos de seguridad a la hora de identificar los datos específicos que se utilizan para la formación en IA. Esta opacidad genera preocupaciones sobre la exposición involuntaria de información confidencial y propiedad intelectual. Superando los desafíos de la exclusión voluntaria de datos en plataformas impulsadas por IA En todas las aplicaciones SaaS, la información sobre la exclusión voluntaria del uso de datos a menudo está dispersa y es inconsistente. Algunos mencionan opciones de exclusión voluntaria en términos de servicio, otros en políticas de privacidad y algunos requieren enviar un correo electrónico a la empresa para optar por no participar. Esta inconsistencia y falta de transparencia complica la tarea de los profesionales de la seguridad, destacando la necesidad de un enfoque simplificado para controlar el uso de datos. Por ejemplo, una aplicación de generación de imágenes permite a los usuarios optar por no participar en la capacitación de datos seleccionando opciones privadas de generación de imágenes, disponibles con planes pagos. Otro ofrece opciones de exclusión voluntaria, aunque puede afectar el rendimiento del modelo. Algunas aplicaciones permiten a los usuarios individuales ajustar la configuración para evitar que sus datos se utilicen para capacitación. La variabilidad en los mecanismos de exclusión voluntaria subraya la necesidad de que los equipos de seguridad comprendan y administren las políticas de uso de datos en las diferentes empresas. Una solución SaaS centralizada de gestión de la postura de seguridad (SSPM) puede ayudar proporcionando alertas y orientación sobre las opciones de exclusión voluntaria disponibles para cada plataforma, agilizando el proceso y garantizando el cumplimiento de las políticas y regulaciones de gestión de datos. En última instancia, comprender cómo la IA utiliza sus datos es crucial para gestionar los riesgos y garantizar el cumplimiento. Saber cómo cancelar el uso de datos es igualmente importante para mantener el control sobre su privacidad y seguridad. Sin embargo, la falta de enfoques estandarizados en las plataformas de IA dificulta estas tareas. Al priorizar la visibilidad, el cumplimiento y las opciones de exclusión voluntarias accesibles, las organizaciones pueden proteger mejor sus datos de los modelos de capacitación de IA. Aprovechar una solución SSPM centralizada y automatizada como Wing permite a los usuarios afrontar los desafíos de los datos de IA con confianza y control, garantizando que su información confidencial y su propiedad intelectual permanezcan seguras. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Página 1 de 17

Funciona con WordPress & Tema de Anders Norén